PCI DSS » История » Редакция 1
Редакция 1/9
| Следующее »
С. Антошкин, 06.12.2023 13:48
PCI DSS¶
- Содержание
- PCI DSS
История стандарта¶
С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами – эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего.
В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP – первый из числа родоначальников стандарта PCI DSS.
Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям.
Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов.
В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей.
В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок.
6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем.
На сегоднящний день PCI SCC выпустила несколько стандартов охватывающий весь процесс обработки данных платежных карт:- DSS – безопасность платежной инфраструктуры и процессов в банках
- ASV – решение по сканированию на уязвимости периметра, необходимое для стандарта PCI DSS
- SSF – безопасная разработка платежных приложений
- Pin Security – организация безопасного приема и обработки PIN-кодов
- 3D Secure – обеспечение безопасности платежей с применением одноразовый паролей
- др.
Требования¶
PCI DSS содержит более 250 требований, которые позволяют достичь определенных целей защиты.
| ЦЕЛЬ | ГРУППЫ ТРЕБОВАНИЙ PCI DSS |
|---|---|
| Создание и поддержка защищенной сети и систем | Требование 1 Установить и поддерживать конфигурацию межсетевых экранов для защиты данных |
| Требование 2 Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию |
|
| Защита данных Держателей карт | Требование 3 Защищать хранимые данные держателей карт |
| Требование 4 Шифровать данные держателей карт при их передаче в открытых общедоступных сетях |
|
| Ведение программы по управлению уязвимостями | Требование 5 Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы |
| Требование 6 Разрабатывать и поддерживать безопасные системы и приложения |
|
| Внедрение строгих мер контроля доступа | Требование 7 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью |
| Требование 8 Определять и подтверждать доступ к системным компонентам |
|
| Требование 9 Ограничить физический доступ к данным держателей карт |
|
| Регулярный мониторинг и тестирование сети | Требование 10 Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт |
| Требование 11 Регулярно выполнять тестирование систем и процессов обеспечения безопасности |
|
| Поддержание политики информационной безопасности | Требование 12 Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации |
Обновлено С. Антошкин больше 1 года назад · 1 изменени(я, ий)